Kısaca: Birçok WordPress eklentisi, içerik yönetim sisteminin internetteki hemen hemen her yerden içeriği hızlı ve kolay bir şekilde paylaşma yeteneğini geliştirmek için tasarlanmıştır. Ancak popüler bir eklenti görünüşe göre siber suçluların da hayatını kolaylaştırıyor.
WP Otomatik eklentisi, bilgisayar korsanlarının geçen aydan bu yana istismar ettiği ciddi bir güvenlik açığı nedeniyle tehlikeye girdi. Bu eklentinin 38.000’den fazla ücretli müşterisi vardır ve WordPress sitelerinin RSS beslemeleri, YouTube, Twitter gibi çeşitli kaynaklardan veya ChatGPT aracılığıyla içerik oluşturarak zahmetsizce yeni gönderiler eklemesine olanak tanır.
CVE-2024-27956 olarak izlenen kusur, Mart ayında güvenlik şirketi Patchstack tarafından açıklandı ve önem derecesi 9,9 (10 üzerinden) aldı. Oldukça tehlikeli bir SQL enjeksiyon güvenlik açığı olarak tanımlanıyor ve analistler, bilgisayar korsanlarının farkına vardıktan sonra yaygın bir şekilde istismar edileceğini öngörüyor. Patchstack’a göre, kötü niyetli aktörler bir WordPress sitesinin SQL veritabanıyla “doğrudan etkileşime girebilir” ve potansiyel olarak kişisel bilgileri, kullanıcı hesaplarını ve daha fazlasını manipüle edebilir.
WP Otomatik’in yayıncısı ValvePress, sürüm notlarında düzeltilen sorunu kabul etmeden en son eklenti sürümündeki (3.92.1) SQL enjeksiyon kusurunu ele aldı. Yine de bilgisayar korsanları CVE-2024-27956’yı hızlı bir şekilde keşfetti; Güvenlik şirketi WPScan tarafından yakın zamanda yayınlanan bir bültende, hatanın 13 Mart 2024’ten bu yana 5,5 milyondan fazla saldırı girişiminin hedefi olduğu belirtildi.
WPScan, CVE-2024-27956’ya yönelik, yetkisiz bir veritabanı sorgusunun yürütülmesiyle başlayan ve ele geçirilen web sitesinin tamamen sahiplenilmesiyle sona eren tipik yararlanma sürecini açıklar. Bilgisayar korsanları içeri girdikten sonra yeni yönetici kullanıcı hesapları oluşturabilir, yeni kötü amaçlı yazılımlar ve eklentiler yükleyebilir ve daha fazlasını yapabilir. Suçlular ayrıca savunmasız WAP PHP betiğini yeniden adlandırarak başka hiçbir “siber çetenin” bu kusurdan yararlanamayacağını garantileyebilir.
Bir WordPress sitesinin güvenliği ihlal edildiğinde, saldırgan arka kapılar oluşturabilir ve kötü amaçlı kodlarını gizleyebilir. WPScan tarafından keşfedilen, güvenliği ihlal edilmiş sitelerin çoğunda siber suçlular, dosyaları yüklemek ve kodları kolayca düzenlemek için kendi eklentilerini yüklediler. CVE-2024-27956 son derece ciddi bir güvenlik riskini temsil ediyor ve bazı araştırmacılar bunun “gerçek” bir SQL enjeksiyon sorunu olarak nitelendirilip nitelendirilmediğini sorgulasa da, tüm WP Otomatik müşterilerinin eklentinin en son sürümüne güncelleme yapması isteniyor.
İsimsiz bir geliştirici, WP Otomatik eklentisinin yalnızca yetkili kullanıcılardan gelen SQL sorgularını işlemek için tasarlandığını belirtti. CVE-2024-27956, bilgisayar korsanlarının bu yetkilendirme kontrollerini atlatmasına olanak tanırken, bir saldırgan SQL kodunu “yalnızca veri olması gereken” bir şeye yerleştirdiğinde SQL enjeksiyonu meydana gelir; geliştiriciye göre WAP’ta durum böyle değildir.